Em vigor desde: 2026-06-01 · Versão 2.1
Esta página é uma tradução de cortesia. Em caso de conflito, prevalece a versão em inglês.
Esta Política de Privacidade explica como a Parhelion Software SRL ("Sydium", "nós", "nos") recolhe, utiliza, partilha e protege os seus dados pessoais quando utiliza a plataforma Sydium em sydium.com e serviços relacionados. Estamos empenhados numa transparência em linguagem clara sobre o que fazemos com os seus dados.
1. Quem é responsável pelos seus dados
O responsável pelo tratamento dos dados pessoais tratados no contexto do Serviço é:
Parhelion Software SRL
Sede social: România, Galați, str. Vânători nr. 35
Registo comercial: J17/67/2013
NIF/IVA: RO31105708
Contacto de privacidade: privacy@sydium.com
Encarregado da Proteção de Dados: Não nomeámos um Encarregado da Proteção de Dados formal nos termos do RGPD Art. 37, porque o nosso tratamento não o exige. Para todos os assuntos de proteção de dados, contacte privacy@sydium.com.
Representante na UE: Não aplicável - a Parhelion Software SRL está estabelecida na Roménia e, por isso, dentro da UE.
2. Que informações recolhemos
Recolhemos dados pessoais nas categorias abaixo. Quando fornece dados diretamente, indicamos na respetiva interface o que é obrigatório e o que é opcional.
- Informações da conta. Endereço de e-mail, nome, hash da palavra-passe (ou token de login social do Google), URL da fotografia de perfil. Fornecidos por si no registo. Geramos também automaticamente identificadores técnicos (ID de utilizador, ID da equipa, identificadores de sessão).
- Informações de faturação. Plano de subscrição, intervalo de faturação, estado do pagamento, histórico de faturas. Os números de cartão e os dados bancários são recolhidos e mantidos pelo nosso processador de pagamentos (Stripe); nós recebemos apenas um identificador tokenizado e metadados.
- Contas de redes sociais ligadas. Quando liga uma conta social, armazenamos a credencial que nos permite atuar em seu nome (publicar, ler análises, ler mensagens): na maioria das plataformas é um token de acesso OAuth e, no Bluesky, uma palavra-passe específica de aplicação que o utilizador gera. Nunca armazenamos a palavra-passe principal da sua plataforma. Os dados que depois lemos incluem: conteúdo das publicações que publicou, métricas de engagement, agregados de audiência e (para funcionalidades de inbox) mensagens diretas e comentários nas suas contas.
- Conteúdo que cria. Rascunhos, publicações agendadas, entradas de calendário, ficheiros multimédia (imagens, vídeo, áudio), conteúdo gerado por IA, material de treino da Brand Voice e qualquer texto que digite no Serviço.
- Dados da Brand Voice. Documentos que carrega e publicações que lemos das contas ligadas para treinar a sua Brand Voice. Extraímos parâmetros de estilo; não republicamos o material original. Veja o calendário de conservação abaixo.
- Dados de inbox e engagement. Para funcionalidades de inbox, recebemos cópias de mensagens diretas e comentários em contas ligadas. Estes são armazenados para disponibilizar a interface de inbox e calcular funcionalidades de engagement.
- Comunicações de suporte. E-mails, mensagens de chat e submissões de formulário que nos envia, e as nossas respostas.
- Dados de utilização e dispositivo. Páginas visualizadas, funcionalidades utilizadas, métricas de desempenho, endereço IP (truncado quando possível), tipo de browser, sistema operativo, identificadores de dispositivo. Recolhidos automaticamente pelos sistemas de análise e rastreamento de erros.
- Cookies e armazenamento semelhante. Veja a Secção 8 abaixo para o inventário completo.
3. Porque tratamos os seus dados e com que fundamento jurídico
Ao abrigo do RGPD, cada atividade de tratamento precisa de um fundamento jurídico. Aqui está o nosso, por finalidade:
| Finalidade | Fundamento jurídico |
|---|---|
| Prestar o Serviço - disponibilizar a aplicação, armazenar e agendar os seus conteúdos, executar funcionalidades de IA, publicar em plataformas ligadas, entregar análises | Contrato (Art. 6.º, n.º 1, alínea b)) - execução dos nossos Termos de Serviço consigo |
| Criação de conta, autenticação, redefinição de palavra-passe, segurança | Contrato (Art. 6.º, n.º 1, alínea b)) e interesse legítimo (Art. 6.º, n.º 1, alínea f)) para segurança e prevenção de fraude |
| Faturação, emissão de faturas, impostos | Contrato (Art. 6.º, n.º 1, alínea b)) e obrigação legal (Art. 6.º, n.º 1, alínea c)) - direito contabilístico/fiscal |
| E-mails transacionais (verificação, redefinição de palavra-passe, notificações de faturação, atualizações importantes do serviço) | Contrato (Art. 6.º, n.º 1, alínea b)) e obrigação legal quando aplicável |
| Análises de produto e gravação de sessão (PostHog) | Interesse legítimo (Art. 6.º, n.º 1, alínea f)) para visitantes fora da UE/Reino Unido; consentimento (Art. 6.º, n.º 1, alínea a)) para visitantes da UE/Reino Unido através do banner de cookies |
| Análises do site de marketing (Google Analytics) | Consentimento (Art. 6.º, n.º 1, alínea a)) para visitantes da UE/Reino Unido; interesse legítimo com opt-out nos restantes locais |
| Newsletter de produto opcional ou e-mails de marketing | Consentimento (Art. 6.º, n.º 1, alínea a)) - apenas opt-in, revogável a qualquer momento através do link de cancelamento |
| Rastreamento de erros e monitorização de desempenho (Sentry) | Interesse legítimo (Art. 6.º, n.º 1, alínea f)) - manutenção da fiabilidade e segurança do Serviço |
| Apoio ao cliente | Contrato e interesse legítimo |
| Cumprimento de pedidos legais, defesa de direitos legais, aplicação dos nossos Termos | Obrigação legal (Art. 6.º, n.º 1, alínea c)) e interesse legítimo (Art. 6.º, n.º 1, alínea f)) |
4. Como utilizamos as suas informações (resumo)
- Para prestar e manter a plataforma Sydium
- Para agendar e publicar conteúdos nas suas contas de redes sociais ligadas em seu nome
- Para gerar conteúdo assistido por IA (incluindo na sua Brand Voice)
- Para calcular e apresentar análises sobre o seu desempenho nas redes sociais
- Para enviar mensagens importantes de serviço (segurança, faturação, conta)
- Para melhorar funcionalidades e experiência do utilizador
- Para detetar, prevenir e responder a problemas de segurança e fraude
- Para cumprir obrigações legais
5. Subcontratantes e partilha de dados
Não vendemos os seus dados pessoais. Não os partilhamos para publicidade comportamental entre contextos. Apenas partilhamos dados com as categorias de destinatários abaixo, e apenas na medida necessária para prestar o Serviço. Todos os subcontratantes estão vinculados por acordos escritos de tratamento de dados que cumprem os requisitos do Art. 28 do RGPD.
Categorias de destinatários
- Plataformas de redes sociais que liga. Enviamos e recebemos dados através das suas APIs oficiais (OAuth 2.0) para publicar conteúdos e ler análises/mensagens em seu nome.
- Fornecedores de IA. OpenAI (geração de texto e transcrição de áudio para legendas), Anthropic (geração de texto) e fal.ai (geração de imagens e vídeo). Enviamos apenas os prompts, o conteúdo multimédia e o contexto necessários para a geração; não partilhamos dados de conta ou de faturação. Os fornecedores atuais não utilizam, por defeito, inputs de clientes business/API para treinar os seus modelos.
- Fornecedores de infraestrutura. Google Cloud / Firebase (base de dados, armazenamento, autenticação, alojamento) e Cloudflare (CDN, Workers, armazenamento de objetos, segurança).
- Processador de pagamentos. Stripe trata da faturação da subscrição e impostos. Nunca vemos os seus dados completos de cartão ou bancários.
- Fornecedor de e-mail transacional. Brevo (UE) envia e-mails de verificação, redefinição de palavra-passe, faturação e notificações em nosso nome.
- Observabilidade. Sentry (erros), PostHog (análises de produto, gravação de sessão, instância na UE).
- Análises do site de marketing. Google Analytics (GA4) para medição agregada. Funciona apenas no site público de marketing, está sujeito a consentimento para visitantes da UE/Reino Unido, e não está ativo quando está autenticado na aplicação.
- Consultores profissionais, autoridades e sucessores. Os nossos advogados, contabilistas e auditores sob dever de confidencialidade. Autoridades governamentais ou tribunais quando exigido por lei. Uma entidade sucessora no contexto de uma fusão, aquisição ou venda da substancial totalidade dos nossos ativos (com proteção continuada ao abrigo desta Política).
Abaixo está a lista atual completa de subcontratantes. Atualizaremos esta lista antes de adicionar um novo subcontratante com acesso aos seus dados pessoais. Pode subscrever atualizações sobre subcontratantes enviando um e-mail para privacy@sydium.com.
| Subcontratante | Finalidade | Localização | Mecanismo de transferência |
|---|---|---|---|
| Google Cloud Platform (Firebase) | Authentication, database (Firestore), file storage, push messaging, app hosting | United States | Standard Contractual Clauses |
| Cloudflare, Inc. | Edge CDN, Workers compute, R2 object storage, DNS, WAF / AI Crawl Control | Global edge / United States | Standard Contractual Clauses |
| OpenAI, L.L.C. | Text generation and audio transcription for captions (prompts, media, and outputs only; no account data) | United States | Standard Contractual Clauses + OpenAI DPA |
| Anthropic, PBC | Text generation (prompts and outputs only; no account data) | United States | Standard Contractual Clauses + Anthropic DPA |
| fal.ai (Features and Labels, Inc.) | AI image and video generation | United States | Standard Contractual Clauses |
| Brevo (Sendinblue SAS) | Transactional email (verification, password reset, notifications) | European Union (France) | EU-resident processor |
| Stripe Payments Europe, Ltd. | Subscription billing, invoicing, tax (Stripe Tax) | Ireland (EU) + United States | Standard Contractual Clauses |
| Sentry (Functional Software, Inc.) | Error tracking and performance monitoring | United States | Standard Contractual Clauses |
| PostHog Inc. | Product analytics, session recording (EU-hosted instance) | European Union (Germany) | EU-resident processor |
| Google Analytics (Google Ireland Ltd.) | Aggregate marketing-site analytics (consent-gated for EU/UK visitors) | Ireland (EU) + United States | Standard Contractual Clauses |
| Meta Platforms, Inc. | Publishing to Facebook and Instagram; reading audience analytics via Graph API | United States / Ireland (EU) | Standard Contractual Clauses + Meta DPA |
| Google LLC (YouTube) | Publishing to YouTube; reading analytics via YouTube Data API | United States | Standard Contractual Clauses |
| TikTok Information Technologies UK Ltd. | Publishing to TikTok; reading analytics via Content Posting API | Ireland (EU) + United States | Standard Contractual Clauses + TikTok DPA |
| LinkedIn Ireland Unlimited Company | Publishing to LinkedIn; reading analytics via Marketing Developer Platform | Ireland (EU) + United States | Standard Contractual Clauses |
| X Corp. (Twitter) | Publishing to X; reading analytics via X API | United States | Standard Contractual Clauses |
| Pinterest Europe Ltd. | Publishing to Pinterest; reading analytics via Pinterest API | Ireland (EU) | EU-resident processor |
| Bluesky PBC | Publishing to Bluesky via AT Protocol | United States | Standard Contractual Clauses |
| Mastodon gGmbH (and federated instances) | Publishing to Mastodon instances the user connects | Instance-dependent | Per-instance terms |
6. Transferências internacionais de dados
Alguns dos nossos subcontratantes estão localizados fora do Espaço Económico Europeu, principalmente nos Estados Unidos.
Para transferências de dados pessoais para países fora do EEE que não tenham sido considerados adequados pela Comissão Europeia, recorremos às cláusulas contratuais-tipo adotadas pela Decisão de Execução (UE) 2021/914 da Comissão (as "CCT 2021"), complementadas, quando adequado, por medidas técnicas e organizativas adicionais (encriptação em trânsito e em repouso, controlos de acesso, obrigações do subcontratante).
Realizámos avaliações de impacto das transferências para os nossos principais subcontratantes nos EUA, em consonância com as Recomendações 01/2020 do EDPB (pós-Schrems II). A decisão de adequação do Quadro de Proteção de Dados UE-EUA de 2023 proporciona uma salvaguarda adicional quando o subcontratante se autocertifica ao seu abrigo.
Pode solicitar uma cópia das CCT ou um resumo da nossa avaliação de impacto da transferência enviando um e-mail para privacy@sydium.com.
7. Como protegemos os seus dados
- Encriptação em trânsito (TLS 1.2+) em todas as ligações de e para o Serviço
- Encriptação em repouso (AES-256) para dados armazenados na Google Cloud e na Cloudflare R2
- Tokens OAuth emitidos pela plataforma para as ligações sociais (ou, no caso do Bluesky, uma palavra-passe específica de aplicação que o utilizador gera) - nunca recebemos nem armazenamos a palavra-passe principal das suas redes sociais
- Cookies de sessão assinados de curta duração (JWT, HS256, TTL deslizante de 14 dias) com registo de revogação de sessões
- Controlos de acesso que limitam o acesso aos dados de produção a colaboradores que dele precisam, com registo de auditoria
- Monitorização de segurança de rotina através do Sentry e do Cloudflare WAF
- Revisão periódica das práticas de segurança e dos subcontratantes
Nenhum sistema é perfeitamente seguro. Embora trabalhemos arduamente para proteger os seus dados, não podemos garantir segurança absoluta. É responsável por manter confidenciais as suas credenciais de conta e por nos notificar prontamente de qualquer suspeita de utilização não autorizada.
8. Cookies, tecnologias semelhantes e consentimento
Utilizamos cookies e armazenamento local do browser para: (a) o manter autenticado (essenciais); e (b) medir a forma como o Serviço é utilizado para o podermos melhorar (análise, sujeitas a consentimento para UE/Reino Unido).
Se visitar o nosso site de marketing ou a aplicação a partir da UE, EEE ou Reino Unido, os cookies e rastreadores não essenciais são bloqueados até os aceitar através do banner de consentimento. Pode alterar a sua decisão a qualquer momento:
- No site de marketing (sydium.com): utilize a ligação "Preferências de cookies" no rodapé.
- Na aplicação: abra as definições da sua conta e clique em "Gerir preferências" no cartão Preferências de cookies.
A retirada do consentimento não afeta a licitude do tratamento efetuado antes da retirada.
Honramos sinais do Global Privacy Control (GPC) ao nível do browser, quando tecnicamente viável, tratando-os como um pedido de rejeição dos cookies não essenciais.
| Cookie / armazenamento | Finalidade | Categoria | Conservação |
|---|---|---|---|
__sydium_session | Authenticated session (HS256 JWT) | Essencial | 14 days (sliding) |
__sydium_oauth | OAuth state during Google sign-in flow | Essencial | 10 minutes |
sydium_geo_eu | Records whether visitor is EU/EEA/UK for consent gating | Essencial | 1 day |
sydium_cookie_consent (localStorage) | Stores your consent choices | Essencial | Until you clear browser storage or revoke |
sydium_active_team_id (localStorage) | Remembers the team you were last viewing | Essencial | Until you clear browser storage or switch teams |
ph_phc_*_posthog (localStorage + cookie) | PostHog product analytics and session recording | Análise | 1 year |
_ga, _ga_* | Google Analytics (GA4) aggregate measurement | Análise | 2 years |
Para alguns rastreadores de análise, estão disponíveis opt-outs adicionais do lado do fornecedor: o opt-out do PostHog é aplicado automaticamente quando rejeita as análises; o Google Analytics pode ser desativado através de https://tools.google.com/dlpage/gaoptout/.
9. Por quanto tempo conservamos os seus dados
Conservamos os dados pessoais apenas pelo tempo necessário para a finalidade para que foram recolhidos, acrescido de qualquer período exigido por lei.
| Categoria de dados | Conservação |
|---|---|
| Registo de conta (e-mail, perfil) | Enquanto a Conta estiver ativa. Eliminado no prazo de 30 dias após o pedido de eliminação da Conta, exceto quanto a backups (expurgados pela rotação padrão de backups, máximo 90 dias). |
| Conteúdo (rascunhos, publicações agendadas, multimédia, calendário) | Enquanto a Conta estiver ativa. Eliminado com a Conta, com o mesmo calendário acima. |
| Material de treino original da Brand Voice | Enquanto a Brand Voice existir. Eliminado no prazo de 30 dias quando elimina a Brand Voice ou a Conta. Os parâmetros de estilo derivados são eliminados com a própria Brand Voice. |
| Mensagens e comentários da inbox | Retidos enquanto a conta social ligada estiver associada, até 12 meses. Mensagens mais antigas são removidas automaticamente. |
| Tokens de acesso a plataformas sociais ligadas | Até desligar a plataforma ou eliminar a Conta. Revogados na desconexão. |
| Registos de faturação e faturas | 10 anos a contar da emissão, conforme exigido pela Lei n.º 82/1991 da Roménia (contabilidade). |
| E-mails e chat de suporte | 3 anos a contar da última interação, salvo se um litígio exigir mais tempo. |
| Registos de sessão (sessões ativas, registo JTI) | Sessão ativa: 14 dias deslizantes. Sessões revogadas: 90 dias para auditoria. |
| Logs de acesso ao servidor (com IPs truncados) | 30 dias. |
| Análises de produto (PostHog) | Por defeito 1 ano (conservação padrão da instância PostHog UE). |
| Rastreamento de erros (Sentry) | 90 dias para eventos individuais; métricas agregadas durante mais tempo. |
| Análises de marketing (GA4) | 14 meses (padrão do Google Analytics para a nossa propriedade). |
| Backups | Rotação padrão, máximo 90 dias. Após esse período, as cópias de backup são sobrescritas. |
10. Os seus direitos
Se estiver na UE, EEE ou Reino Unido, o RGPD (e o RGPD do Reino Unido) confere-lhe os seguintes direitos:
- Acesso. Uma cópia dos dados pessoais que detemos sobre si (Art. 15).
- Retificação. Correção de dados inexatos ou incompletos (Art. 16).
- Apagamento. Eliminação dos seus dados, sujeita a limitações (Art. 17).
- Limitação. Limitação do tratamento em determinadas situações (Art. 18).
- Portabilidade. Receção dos seus dados num formato estruturado e legível por máquina e o direito de os transmitir a outro responsável pelo tratamento (Art. 20).
- Oposição. Oposição ao tratamento baseado no interesse legítimo, incluindo marketing direto (Art. 21).
- Retirar o consentimento. Quando o tratamento se baseia no consentimento, pode retirá-lo a qualquer momento sem afetar a licitude do tratamento anterior (Art. 7.º, n.º 3).
- Decisões automatizadas. Direito a não ficar sujeito a uma decisão baseada exclusivamente em tratamento automatizado que produza efeitos jurídicos ou similarmente significativos. Atualmente não tomamos tais decisões.
- Reclamação à autoridade de controlo. Direito de apresentar reclamação à sua autoridade local de proteção de dados. Em Portugal, a Comissão Nacional de Proteção de Dados (CNPD), https://www.cnpd.pt. Na Roménia, a Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), https://www.dataprotection.ro.
Se for residente na Califórnia, a CCPA (conforme alterada pela CPRA) confere-lhe direitos adicionais:
- Direito a saber. Quais as informações pessoais que recolhemos, as fontes, as finalidades e as categorias de destinatários.
- Direito a eliminar. Eliminação das informações pessoais recolhidas junto de si, sujeita a exceções legais.
- Direito a corrigir. Correção de informações pessoais inexatas.
- Direito de opt-out à venda ou partilha. Não vendemos informações pessoais nem as partilhamos para publicidade comportamental entre contextos, pelo que não é necessário um opt-out - mas, se enviar um sinal GPC, tratá-lo-emos como um opt-out de confirmação.
- Direito a limitar a utilização de informações pessoais sensíveis. Não utilizamos informações pessoais sensíveis para finalidades que acionem este direito.
- Direito à não discriminação. Não recusaremos, cobraremos preços diferentes ou prestaremos um nível diferente de serviço por ter exercido os seus direitos CCPA.
Para exercer qualquer destes direitos, envie um e-mail para privacy@sydium.com. Responderemos no prazo de 30 dias (prorrogável por mais 60 dias para pedidos complexos, com aviso). Não cobramos por pedidos razoáveis; podemos recusar pedidos manifestamente infundados ou excessivos, com fundamentação. Verificaremos a sua identidade antes de cumprir um pedido (normalmente, confirmando o controlo do endereço de e-mail da sua Conta).
Quando a lei o permitir, pode utilizar um mandatário autorizado para apresentar um pedido em seu nome. Exigiremos prova da autorização.
11. Crianças
O Serviço não se destina e não recolhemos conscientemente dados pessoais de pessoas com menos de 16 anos (ou da idade superior para consentimento digital no seu país, quando aplicável). Se acreditar que uma criança com menos de 16 anos nos forneceu dados pessoais, contacte privacy@sydium.com e eliminaremos os dados.
Atualmente não utilizamos tecnologia de verificação de idade; baseamo-nos na autodeclaração no momento do registo e podemos tomar medidas adicionais se formos alertados para a presença de um utilizador mais novo.
12. Notificação de violação de dados
Se tomarmos conhecimento de uma violação de dados pessoais suscetível de resultar num elevado risco para os seus direitos e liberdades, notificá-lo-emos sem demora indevida e, em qualquer caso, em consonância com as nossas obrigações nos termos do Art. 34 do RGPD. A notificação descreverá a natureza da violação, as categorias e o número aproximado de registos afetados, as consequências prováveis, as medidas tomadas ou propostas e um ponto de contacto para mais informações.
13. Decisões automatizadas e IA
Utilizamos IA para o ajudar a criar conteúdo (texto, imagens, ideias). Estas funcionalidades de IA geram sugestões; é você quem decide se as publica, edita ou descarta. Não utilizamos IA para tomar decisões sobre si que produzam efeitos jurídicos ou similarmente significativos (por exemplo, não utilizamos IA para scoring de crédito, bloqueio automático de fraude sem revisão humana ou decisões de moderação de conteúdos que rescindam a sua Conta).
14. Alterações a esta política
Podemos atualizar esta Política de Privacidade periodicamente. Para alterações substanciais (qualquer coisa que afete significativamente a forma como tratamos os seus dados pessoais), enviar-lhe-emos um e-mail para o endereço da sua Conta com pelo menos 30 dias de antecedência relativamente à data em que a alteração produz efeitos e mostraremos uma notificação no produto. A data "Em vigor desde" no topo da página reflete sempre a versão mais recente.
15. Contacto
Para questões, pedidos ou reclamações sobre privacidade, contacte a nossa equipa de privacidade em privacy@sydium.com. Para correio:
Parhelion Software SRL - Privacidade
Morada: România, Galați, str. Vânători nr. 35
16. Histórico de versões
- v2.1 - 2026-06-01 - Removido o RB2B (desanonimização de visitantes B2B) como subcontratante e a categoria de cookies de marketing; clarificado o armazenamento de credenciais (palavras-passe de aplicação do Bluesky); divulgadas a transcrição de áudio (OpenAI Whisper) e a geração de vídeo (fal.ai); atualizadas a lista de subcontratantes e as divulgações de cookies.
- v2.0 - 2026-05-27 - Reescrita substancial: dados do responsável pelo tratamento, lista completa de subcontratantes, tabela de fundamentos jurídicos, calendário de conservação, tabela de cookies, secção CCPA, notificação de violação, decisões automatizadas.
- v1.0 - 2026-03-20 - Versão inicial.
Ao utilizar o Sydium, reconhece que leu e compreendeu esta Política de Privacidade.